什么是SSO-开发者社区

文章目录

- SSO的实现原理
- SSO使用的协议和技术
- SSO的优点和缺点
- SSO有哪些应用

SSO是一种身份验证机制，允许用户只登录一次即可访问多个应用程序或系统，从而提高用户体验和工作效率。SSO通常用一个身份验证服务提供商IdP（Identity Provider）来管理用户的身份验证信息，并将这些信息传递给需要身份验证的应用程序或系统。用户只需进行一次身份验证，就可以访问受保护的资源，无需再次输入凭据。

SSO的实现原理

SSO的实现原理如下图所示：

用户首次访问一个需要身份验证的应用程序或系统。
应用程序或系统将用户重定向到IdP，用户在IdP上进行身份验证，通常是输入用户名和密码。
IdP向用户颁发令牌Token，该令牌包含有关用户身份验证的信息。
用户被重定向回原始的应用程序或系统，并将令牌传递给该应用程序或系统，应用程序或系统使用令牌来验证用户身份，并授予用户访问权限。
如果用户访问其他需要身份验证的应用程序或系统，该应用程序或系统将使用相同的令牌到IdP进行用户身份验证。

SSO实现原理示意图

SSO使用的协议和技术

SSO 可通过多种身份验证协议和技术来实现。

安全断言标记语言SAML：SAML（Security Assertion Markup Language）是一种基于XML的标准，用于在不同的安全域之间传递身份验证和授权数据。它允许用户在一个应用程序中进行身份验证，然后使用SAML令牌访问其他应用程序。
开放授权OAuth：OAuth（Open Authorization）是一种授权框架，用于授权第三方应用程序访问用户资源。它允许用户使用他们的凭据登录到一个应用程序，然后使用OAuth令牌访问其他应用程序。
OpenID Connect：OpenID Connect（OIDC）是一种基于OAuth 2.0的身份验证协议，主要用于实现第三方应用程序等的社交登录。作为一种轻量级实现，OIDC/OAuth通常与SAML结合使用。
Kerberos：Kerberos是一种网络身份验证协议，用于在计算机网络中安全地验证用户身份。它允许用户使用他们的凭据登录到一个应用程序，然后使用Kerberos票证访问其他应用程序。
轻量目录访问协议LDAP：LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录服务的协议。它定义了用于存储和更新用户凭据的目录，以及根据该目录对用户进行身份验证的过程，允许用户使用他们的凭据登录到一个应用程序，然后使用LDAP目录访问其他应用程序。
活动目录AD：AD（Active Directory）是一种Microsoft Windows操作系统的目录服务，可以存储和管理组织中的用户、计算机和其他资源。